Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Daftar kontrol akses (ACL) ikhtisar
Daftar kontrol akses Amazon S3 (ACLs) memungkinkan Anda mengelola akses ke bucket dan objek. Setiap bucket dan objek memiliki ACL lampiran padanya sebagai subresource. Ini mendefinisikan Akun AWS atau kelompok mana yang diberikan akses dan jenis akses. Ketika permintaan diterima terhadap sumber daya, Amazon S3 memeriksa yang sesuai ACL untuk memverifikasi bahwa pemohon memiliki izin akses yang diperlukan.
S3 Object Ownership adalah setelan tingkat ember Amazon S3 yang dapat Anda gunakan untuk mengontrol kepemilikan objek yang diunggah ke bucket dan untuk menonaktifkan atau mengaktifkan. ACLs Secara default, Kepemilikan Objek disetel ke setelan diberlakukan pemilik Bucket, dan semuanya ACLs dinonaktifkan. Ketika ACLs dinonaktifkan, pemilik bucket memiliki semua objek di bucket dan mengelola akses ke mereka secara eksklusif dengan menggunakan kebijakan manajemen akses.
Mayoritas kasus penggunaan modern di Amazon S3 tidak lagi memerlukan penggunaan. ACLs Kami menyarankan agar Anda tetap ACLs dinonaktifkan, kecuali dalam keadaan yang tidak biasa di mana Anda perlu mengontrol akses untuk setiap objek secara individual. Dengan ACLs dinonaktifkan, Anda dapat menggunakan kebijakan untuk mengontrol akses ke semua objek di bucket, terlepas dari siapa yang mengunggah objek ke bucket Anda. Untuk informasi selengkapnya, lihat Mengontrol kepemilikan objek dan menonaktifkan bucket ACLs Anda.
penting
Jika bucket Anda menggunakan pengaturan yang diberlakukan pemilik bucket untuk Kepemilikan Objek S3, Anda harus menggunakan kebijakan untuk memberikan akses ke bucket Anda, serta objek di dalamnya. Dengan pengaturan yang diberlakukan pemilik Bucket diaktifkan, permintaan untuk menyetel daftar kontrol akses (ACLs) atau pembaruan ACLs gagal dan mengembalikan kode AccessControlListNotSupported kesalahan. Permintaan untuk membaca ACLs masih didukung.
Saat Anda membuat bucket atau objek, Amazon S3 akan membuat default ACL yang memberi pemilik sumber daya kontrol penuh atas sumber daya. Ini ditunjukkan dalam contoh bucket berikut ACL (objek default ACL memiliki struktur yang sama):
<?xml version="1.0" encoding="UTF-8"?> <AccessControlPolicy xmlns="http://s3.amazonaws.com/doc/2006-03-01/"> <Owner> <ID>*** Owner-Canonical-User-ID ***</ID> <DisplayName>owner-display-name</DisplayName> </Owner> <AccessControlList> <Grant> <Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="Canonical User"> <ID>*** Owner-Canonical-User-ID ***</ID> <DisplayName>display-name</DisplayName> </Grantee> <Permission>FULL_CONTROL</Permission> </Grant> </AccessControlList> </AccessControlPolicy>
Sampel ACL mencakup Owner elemen yang mengidentifikasi pemilik dengan ID Akun AWS pengguna kanonik. Untuk petunjuk bagaimana menemukan id pengguna kanonik Anda, lihat Menemukan ID Akun AWS pengguna kanonik. GrantElemen mengidentifikasi penerima hibah (baik grup Akun AWS atau yang telah ditentukan sebelumnya) dan izin yang diberikan. Default ini ACL memiliki satu Grant elemen untuk pemilik. Anda memberikan izin dengan menambahkan elemen Grant, dengan setiap pemberian yang mengidentifikasi penerimanya dan izinnya.
catatan
Sebuah ACL dapat memiliki hingga 100 hibah.
Topik
Siapa itu penerima?
Penerima hibah dapat berupa Akun AWS atau salah satu grup Amazon S3 yang telah ditentukan sebelumnya. Anda memberikan izin untuk Akun AWS menggunakan alamat email atau ID pengguna kanonik. Namun, jika Anda memberikan alamat email dalam permintaan hibah Anda, Amazon S3 menemukan ID pengguna kanonik untuk akun tersebut dan menambahkannya ke. ACL Hasil ACLs selalu berisi ID pengguna kanonik untuk Akun AWS, bukan alamat email dari. Akun AWS
Saat Anda memberikan hak akses, Anda menentukan setiap penerima sebagai pasangan type="value"type
id— Jika nilai yang ditentukan adalah ID pengguna kanonik dari Akun AWSuri–jika Anda memberikan izin untuk grup yang telah ditentukan sebelumnyaemailAddress–jika nilai yang disebutkan adalah alamat email dari Akun AWS
penting
Menggunakan alamat email untuk menentukan penerima hanya diberi support di Wilayah AWS berikut ini:
-
AS Timur (Virginia Utara)
-
AS Barat (California Utara)
-
AS Barat (Oregon)
-
Asia Pasifik (Singapura)
-
Asia Pasifik (Sydney)
-
Asia Pasifik (Tokyo)
-
Eropa (Irlandia)
-
Amerika Selatan (Sao Paulo)
Untuk daftar semua wilayah dan titik akhir yang didukung Amazon S3, lihat Wilayah dan Titik Akhir di Referensi Umum Amazon Web Services.
contoh Contoh: Alamat Email
Misalnya, x-amz-grant-read header berikut memberikan izin yang Akun AWS diidentifikasi oleh alamat email untuk membaca data objek dan metadatanya:
x-amz-grant-read: emailAddress="xyz@example.com", emailAddress="abc@example.com"
Awas
Saat Anda memberikan Akun AWS akses lain ke sumber daya Anda, ketahuilah bahwa mereka Akun AWS dapat mendelegasikan izin mereka kepada pengguna di bawah akun mereka. Ini dikenal sebagai akses lintas akun. Untuk informasi tentang penggunaan akses lintas akun, lihat Membuat Peran untuk Mendelegasikan Izin kepada IAM Pengguna di Panduan Pengguna. IAM
Menemukan ID Akun AWS pengguna kanonik
ID pengguna kanonik berkaitan dengan Akun AWS Anda. ID ini adalah string panjang karakter, seperti:
79a59df900b949e55d96a1e698fbacedfd6e09d98eacf8f8d5218e7cd47ef2be
Untuk informasi tentang cara menemukan ID pengguna kanonik untuk akun Anda, lihat Menemukan ID pengguna kanonik untuk Anda Akun AWS di Panduan Referensi Manajemen AWS Akun.
Anda juga dapat mencari ID pengguna kanonik dari sebuah Akun AWS dengan membaca bucket atau objek yang Akun AWS memiliki izin akses. ACL Ketika seseorang Akun AWS diberikan izin oleh permintaan hibah, entri hibah ditambahkan ke ID ACL pengguna kanonik akun tersebut.
catatan
Jika Anda membuat bucket menjadi publik (tidak disarankan), pengguna yang tidak diautentikasi dapat mengunggah objek ke dalam bucket tersebut. Pengguna anonim ini tidak memiliki Akun AWS. Saat pengguna anonim mengunggah objek ke bucket Anda, Amazon S3 menambahkan ID pengguna kanonik khusus 65a011a29cdf8ec533ec3d1ccaae921c () sebagai pemilik objek di. ACL Untuk informasi selengkapnya, lihat bucket Amazon S3 dan kepemilikan objek.
Grup Amazon S3 yang sudah ditentukan sebelumnya
Amazon S3 memiliki serangkaian grup yang telah ditentukan sebelumnya. Saat memberikan akses akun ke grup, Anda menentukan salah satu Amazon URIs S3, bukan ID pengguna kanonik. Amazon S3 menyediakan grup yang telah ditentukan sebelumnya berikut ini:
-
Grup Pengguna yang Diautentikasi–Diwakili oleh
http://acs.amazonaws.com/groups/global/AuthenticatedUsers.Kelompok ini mewakili semua Akun AWS. Izin akses ke grup ini memungkinkan siapa pun Akun AWS untuk mengakses sumber daya. Namun demikian, semua permintaan harus ditandatangani (diautentikasi).
Awas
Saat Anda memberikan akses ke grup Pengguna Terautentikasi, setiap pengguna yang AWS diautentikasi di dunia dapat mengakses sumber daya Anda.
-
Grup Semua Pengguna–Diwakili oleh
http://acs.amazonaws.com/groups/global/AllUsers.Izin akses ke grup ini memungkinkan siapa pun di dunia mengakses ke sumber daya. Permintaan dapat ditandatangani (diautentikasi) atau tidak ditandatangani (anonim). Permintaan yang tidak ditandatangani menghilangkan header Autentikasi dalam permintaan.
Awas
Kami sangat merekomendasikan agar Anda tidak pernah memberikan Grup Semua Pengguna izin
WRITE,WRITE_ACP, atauFULL_CONTROL. Misalnya, sementara izinWRITEtidak mengizinkan non-pemilik untuk menimpa atau menghapus objek yang ada, izinWRITEmasih memungkinkan siapa pun menyimpan objek dalam bucket Anda, yang akan ditagihkan kepada Anda. Untuk perincian lebih lanjut tentang izin ini, lihat bagian berikut Izin apa yang dapat saya berikan?. -
Grup Log Pengiriman–Diwakili oleh
http://acs.amazonaws.com/groups/s3/LogDelivery.Izin
WRITEpada bucket memungkinkan grup ini menulis log akses server (lihat Pencatatan permintaan dengan pencatatan akses server) ke bucket.
catatan
Saat menggunakanACLs, penerima hibah dapat berupa Akun AWS atau salah satu grup Amazon S3 yang telah ditentukan sebelumnya. Namun, penerima hibah tidak bisa menjadi IAM pengguna. Untuk informasi selengkapnya tentang AWS pengguna dan izin di dalamnyaIAM, lihat Menggunakan AWS Identity and Access Management.
Izin apa yang dapat saya berikan?
Tabel berikut mencantumkan kumpulan izin yang didukung Amazon S3 di file. ACL Kumpulan ACL izin sama untuk objek ACL dan emberACL. Namun, tergantung pada konteksnya (bucket ACL atau objekACL), ACL izin ini memberikan izin untuk bucket atau operasi objek tertentu. Tabel ini mencantumkan izin dan menjelaskan apa artinya dalam konteks objek dan bucket.
Untuk informasi selengkapnya tentang ACL izin di konsol Amazon S3, lihat. Mengkonfigurasi ACLs
ACLizin | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Izin | Saat diberikan pada bucket | Saat diberikan pada objek | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
READ |
Memungkinkan penerima untuk mencantumkan objek di dalam bucket | Memungkinkan penerima untuk membaca data objek dan metadatanya | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
WRITE |
Mengizinkan penerima untuk membuat objek baru di dalam bucket. Untuk pemilik bucket dan objek dari objek yang sudah ada, serta mengizinkan penghapusan dan penimpaan objek tersebut. | Tidak berlaku | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
READ_ACP |
Memungkinkan penerima hibah membaca ember ACL | Memungkinkan penerima hibah untuk membaca objek ACL | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
WRITE_ACP |
Memungkinkan penerima hibah untuk menulis ACL untuk ember yang berlaku | Memungkinkan penerima hibah untuk menulis ACL untuk objek yang berlaku | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
FULL_CONTROL |
Memungkinkan penerima pemberian READ, WRITE, READ_ACP, dan WRITE_ACP izin pada bucket |
Memungkinkan penerima pemberian READ, WRITE_ACP, dan READ_ACP izin pada objek |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Awas
Berhati-hatilah saat memberikan izin akses ke bucket dan S3 Object Anda. Misalnya, memberikan akses WRITE ke bucket mengizinkan penerima membuat, menimpa, dan menghapus objek dalam bucket tersebut. Kami sangat menyarankan Anda membaca seluruh Daftar kontrol akses (ACL) ikhtisar bagian sebelum memberikan izin.
Pemetaan ACL izin dan izin kebijakan akses
Seperti yang ditunjukkan pada tabel sebelumnya, hanya ACL mengizinkan sekumpulan izin terbatas, dibandingkan dengan jumlah izin yang dapat Anda tetapkan dalam kebijakan akses (lihat). Tindakan kebijakan untuk Amazon S3 Masing-masing izin ini memungkinkan satu operasi Amazon S3 atau lebih.
Tabel berikut menunjukkan cara setiap ACL izin memetakan izin kebijakan akses yang sesuai. Seperti yang Anda lihat, kebijakan akses memungkinkan lebih banyak izin daripada yang ACL dilakukan. Anda menggunakan ACLs terutama untuk memberikan izin baca/tulis dasar, mirip dengan izin sistem file. Untuk informasi selengkapnya tentang kapan harus menggunakanACL, lihatIdentity and Access Management untuk Amazon S3.
Untuk informasi selengkapnya tentang ACL izin di konsol Amazon S3, lihat. Mengkonfigurasi ACLs
| ACLizin | Izin kebijakan akses yang sesuai saat ACL izin diberikan pada bucket | Izin kebijakan akses yang sesuai saat ACL izin diberikan pada objek |
|---|---|---|
READ |
s3:ListBucket, s3:ListBucketVersions, dan s3:ListBucketMultipartUploads |
s3:GetObject dan s3:GetObjectVersion |
WRITE |
Pemilik bucket dapat membuat, menimpa, dan menghapus objek apa pun di bucket, dan pemilik objek memiliki Selain itu, ketika penerima hibah adalah pemilik bucket, pemberian |
Tidak berlaku |
READ_ACP |
s3:GetBucketAcl
|
s3:GetObjectAcl dan s3:GetObjectVersionAcl |
WRITE_ACP |
s3:PutBucketAcl |
s3:PutObjectAcl dan s3:PutObjectVersionAcl |
FULL_CONTROL |
Setara dengan pemberianREAD,, WRITEREAD_ACP, dan WRITE_ACP ACL izin. Dengan demikian, ACL izin ini memetakan ke kombinasi izin kebijakan akses yang sesuai. |
Setara dengan pemberianREAD,READ_ACP, dan WRITE_ACP ACL izin. Dengan demikian, ACL izin ini memetakan ke kombinasi izin kebijakan akses yang sesuai. |
Kunci syarat
Saat Anda memberikan izin kebijakan akses, Anda dapat menggunakan kunci kondisi untuk membatasi nilai objek ACL pada objek menggunakan kebijakan bucket. Kunci konteks berikut sesuai denganACLs. Anda dapat menggunakan kunci konteks ini untuk mengamanatkan penggunaan spesifik ACL dalam permintaan:
s3:x-amz-grant-read‐ Memerlukan akses baca.s3:x-amz-grant-write‐ Memerlukan akses tulis.s3:x-amz-grant-read-acp- Memerlukan akses baca ke emberACL.s3:x-amz-grant-write-acp- Memerlukan akses tulis ke emberACL.s3:x-amz-grant-full-control‐ Memerlukan kontrol penuh.s3:x-amz-acl‐ Memerlukan Kalengan ACL.
Misalnya kebijakan yang melibatkan header ACL -specific, lihat. Pemberian s3: PutObject izin dengan syarat yang mengharuskan pemilik bucket untuk mendapatkan kontrol penuh Untuk daftar lengkap kunci kondisi khusus Amazon S3, lihat Tindakan, sumber daya, dan kunci kondisi untuk Amazon S3 di Referensi Otorisasi Layanan.
Nilai aclRequired untuk permintaan Amazon S3 umum
Untuk mengidentifikasi permintaan Amazon S3 yang diperlukan ACLs untuk otorisasi, Anda dapat menggunakan aclRequired nilai di log akses server Amazon S3 atau. AWS CloudTrailaclRequiredNilai yang muncul di log akses server Amazon S3 CloudTrail atau Amazon S3 bergantung pada operasi mana yang dipanggil dan informasi tertentu tentang pemohon, pemilik objek, dan pemilik bucket. Jika tidak ACLs diperlukan, atau jika Anda menyetel bucket-owner-full-control kalengACL, atau jika permintaan diizinkan oleh kebijakan bucket Anda, string aclRequired nilainya adalah "-" di log akses server Amazon S3 dan tidak ada di dalamnya. CloudTrail
Tabel berikut mencantumkan aclRequired nilai yang diharapkan dalam CloudTrail atau log akses server Amazon S3 untuk berbagai operasi Amazon API S3. Anda dapat menggunakan informasi ini untuk memahami operasi Amazon S3 mana yang bergantung pada otorisasiACLs. Dalam tabel berikut, A, B, dan C mewakili akun berbeda yang terkait dengan pemohon, pemilik objek, dan pemilik bucket. Entri dengan tanda bintang (*) menunjukkan salah satu akun A, B, atau C.
catatan
PutObjectoperasi dalam tabel berikut, kecuali ditentukan lain, menunjukkan permintaan yang tidak menetapkanACL, kecuali ACL adalah a bucket-owner-full-controlACL. Nilai null untuk aclRequired menunjukkan bahwa tidak aclRequired ada dalam AWS CloudTrail log.
aclRequirednilai untuk CloudTrail | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Nama operasi | Peminta | Pemilik objek | Pemilik bucket | Kebijakan bucket memberikan akses | Nilai aclRequired |
Alasan | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
GetObject |
A | A | A | Ya atau Tidak | null | Akses akun yang sama | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| A | B | A | Ya atau Tidak | null | Akses akun yang sama dengan pemilik bucket diberlakukan | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| A | A | B | Ya | null | Akses lintas akun yang diberikan oleh kebijakan bucket | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| A | A | B | Tidak | Ya | Akses lintas akun bergantung pada ACL | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| A | A | B | Ya | null | Akses lintas akun yang diberikan oleh kebijakan bucket | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| A | B | B | Tidak | Ya | Akses lintas akun bergantung pada ACL | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| A | B | C | Ya | null | Akses lintas akun yang diberikan oleh kebijakan bucket | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| A | B | C | Tidak | Ya | Akses lintas akun bergantung pada ACL | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
PutObject |
A | Tidak berlaku | A | Ya atau Tidak | null | Akses akun yang sama | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| A | Tidak berlaku | B | Ya | null | Akses lintas akun yang diberikan oleh kebijakan bucket | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| A | Tidak berlaku | B | Tidak | Ya | Akses lintas akun bergantung pada ACL | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
PutObjectdengan ACL (kecualibucket-owner-full-control) |
* | Tidak berlaku | * | Ya atau Tidak | Ya | Minta hibah ACL | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ListObjects |
A | Tidak berlaku | A | Ya atau Tidak | null | Akses akun yang sama | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| A | Tidak berlaku | B | Ya | null | Akses lintas akun yang diberikan oleh kebijakan bucket | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| A | Tidak berlaku | B | Tidak | Ya | Akses lintas akun bergantung pada ACL | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
DeleteObject |
A | Tidak berlaku | A | Ya atau Tidak | null | Akses akun yang sama | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| A | Tidak berlaku | B | Ya | null | Akses lintas akun yang diberikan oleh kebijakan bucket | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| A | Tidak berlaku | B | Tidak | Ya | Akses lintas akun bergantung pada ACL | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
PutObjectAcl |
* | * | * | Ya atau Tidak | Ya | Minta hibah ACL | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
PutBucketAcl |
* | Tidak berlaku | * | Ya atau Tidak | Ya | Minta hibah ACL | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
catatan
REST.PUT.OBJECToperasi dalam tabel berikut, kecuali ditentukan lain, menunjukkan permintaan yang tidak menetapkanACL, kecuali ACL adalah a bucket-owner-full-controlACL. String aclRequired nilai "-" menunjukkan nilai nol di log akses server Amazon S3.
Nilai aclRequired pencatatan akses server Amazon S3 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Nama operasi | Peminta | Pemilik objek | Pemilik bucket | Kebijakan bucket memberikan akses | Nilai aclRequired |
Alasan | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
REST.GET.OBJECT |
A | A | A | Ya atau Tidak | - | Akses akun yang sama | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| A | B | A | Ya atau Tidak | - | Akses akun yang sama dengan pemilik bucket diberlakukan | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| A | A | B | Ya | - | Akses lintas akun yang diberikan oleh kebijakan bucket | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| A | A | B | Tidak | Ya | Akses lintas akun bergantung pada ACL | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| A | B | B | Ya | - | Akses lintas akun yang diberikan oleh kebijakan bucket | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| A | B | B | Tidak | Ya | Akses lintas akun bergantung pada ACL | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| A | B | C | Ya | - | Akses lintas akun yang diberikan oleh kebijakan bucket | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| A | B | C | Tidak | Ya | Akses lintas akun bergantung pada ACL | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
REST.PUT.OBJECT |
A | Tidak berlaku | A | Ya atau Tidak | - | Akses akun yang sama | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| A | Tidak berlaku | B | Ya | - | Akses lintas akun yang diberikan oleh kebijakan bucket | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| A | Tidak berlaku | B | Tidak | Ya | Akses lintas akun bergantung pada ACL | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
REST.PUT.OBJECTdengan ACL (kecualibucket-owner-full-control) |
* | Tidak berlaku | * | Ya atau Tidak | Ya | Minta hibah ACL | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
REST.GET.BUCKET |
A | Tidak berlaku | A | Ya atau Tidak | - | Akses akun yang sama | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| A | Tidak berlaku | B | Ya | - | Akses lintas akun yang diberikan oleh kebijakan bucket | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| A | Tidak berlaku | B | Tidak | Ya | Akses lintas akun bergantung pada ACL | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
REST.DELETE.OBJECT |
A | Tidak berlaku | A | Ya atau Tidak | - | Akses akun yang sama | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| A | Tidak berlaku | B | Ya | - | Akses lintas akun yang diberikan oleh kebijakan bucket | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| A | Tidak berlaku | B | Tidak | Ya | Akses lintas akun bergantung pada ACL | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
REST.PUT.ACL |
* | * | * | Ya atau Tidak | Ya | Minta hibah ACL | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Sampel ACL
Contoh berikut ACL pada bucket mengidentifikasi pemilik sumber daya dan satu set hibah. Formatnya adalah XML representasi dari ACL di Amazon S3 RESTAPI. Pemilik bucket memiliki FULL_CONTROL sumber daya. Selain itu, ini ACL menunjukkan bagaimana izin diberikan pada sumber daya ke dua Akun AWS, diidentifikasi oleh ID pengguna kanonik, dan dua grup Amazon S3 yang telah ditentukan sebelumnya yang dibahas di bagian sebelumnya.
<?xml version="1.0" encoding="UTF-8"?> <AccessControlPolicy xmlns="http://s3.amazonaws.com/doc/2006-03-01/"> <Owner> <ID>Owner-canonical-user-ID</ID> <DisplayName>display-name</DisplayName> </Owner> <AccessControlList> <Grant> <Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="CanonicalUser"> <ID>Owner-canonical-user-ID</ID> <DisplayName>display-name</DisplayName> </Grantee> <Permission>FULL_CONTROL</Permission> </Grant> <Grant> <Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="CanonicalUser"> <ID>user1-canonical-user-ID</ID> <DisplayName>display-name</DisplayName> </Grantee> <Permission>WRITE</Permission> </Grant> <Grant> <Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="CanonicalUser"> <ID>user2-canonical-user-ID</ID> <DisplayName>display-name</DisplayName> </Grantee> <Permission>READ</Permission> </Grant> <Grant> <Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="Group"> <URI>http://acs.amazonaws.com/groups/global/AllUsers</URI> </Grantee> <Permission>READ</Permission> </Grant> <Grant> <Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="Group"> <URI>http://acs.amazonaws.com/groups/s3/LogDelivery</URI> </Grantee> <Permission>WRITE</Permission> </Grant> </AccessControlList> </AccessControlPolicy>
Kalengan ACL
Amazon S3 mendukung satu set hibah yang telah ditentukan, yang dikenal sebagai kaleng. ACLs Setiap kaleng ACL memiliki sekumpulan penerima hibah dan izin yang telah ditentukan sebelumnya. Tabel berikut mencantumkan kumpulan kaleng ACLs dan hibah yang telah ditentukan sebelumnya.
| Kalengan ACL | Berlaku untuk | Izin ditambahkan ke ACL |
|---|---|---|
private |
Bucket dan objek | Pemilik mendapatkan FULL_CONTROL. Tidak ada orang lain yang memiliki hak mengakses (default). |
public-read |
Bucket dan objek | Pemilik mendapatkan FULL_CONTROL. Grup AllUsers (lihat Siapa itu penerima?) mendapat akses READ. |
public-read-write |
Bucket dan objek | Pemilik mendapatkan FULL_CONTROL. Grup AllUsers mendapatkan akses READ dan WRITE. memberikan ini pada bucket umumnya tidak disarankan. |
aws-exec-read |
Bucket dan objek | Pemilik mendapatkan FULL_CONTROL. Amazon EC2 mendapatkan READ akses ke GET bundel Amazon Machine Image (AMI) dari Amazon S3. |
authenticated-read |
Bucket dan objek | Pemilik mendapatkan FULL_CONTROL. Grup AuthenticatedUsers mendapat akses READ. |
bucket-owner-read |
Objek | Pemilik objek mendapat FULL_CONTROL. Pemilik bucket mendapat akses READ. Jika Anda menentukan kalengan ini ACL saat membuat ember, Amazon S3 mengabaikannya. |
bucket-owner-full-control |
Objek | Pemilik objek dan pemilik bucket mendapatkan FULL_CONTROL atas objek. Jika Anda menentukan kalengan ini ACL saat membuat ember, Amazon S3 mengabaikannya. |
log-delivery-write |
Bucket | Grup LogDelivery mendapatkan izin WRITE dan READ_ACP pada bucket. Untuk informasi lebih lanjut tentang log, lihat (Pencatatan permintaan dengan pencatatan akses server). |
catatan
Anda hanya dapat menentukan satu dari kaleng ini ACLs dalam permintaan Anda.
Anda menentukan kaleng ACL dalam permintaan Anda dengan menggunakan header x-amz-acl permintaan. Saat Amazon S3 menerima permintaan dengan kalengan ACL dalam permintaan, Amazon S3 menambahkan hibah yang telah ditentukan ke sumber daya. ACL
